因?yàn)椤厄v訊帳號申訴的用戶體驗(yàn)》一文中好多人覺得騰訊申訴是世界級先進(jìn)的，并讓我拿出一個(gè)找回用戶的帳號的功能來。本來不想寫的，因?yàn)榇蠹铱纯雌渌到y(tǒng)的就行的，但是，很明顯有些人就是很懶，也不會(huì)思考，而且不會(huì)觀察，所以，我就只好寫下這篇科普性常識(shí)性的文章。

在行文之前，我得先感謝騰訊公司的至少30名員工在《騰訊帳號申訴的用戶體驗(yàn)》一文后的回帖（我STFG（Search The Fucking Google）看到了你們使用的那個(gè)固定IP在各個(gè)大學(xué)論壇上的騰訊的招聘廣告），我感謝你們主要有兩點(diǎn)：

1. 你們有半數(shù)以上的人留下的是gmail而不是QQMail/Foxmail的電子郵件，這點(diǎn)讓我感到很欣慰。
2. 你們在加班到晚上11點(diǎn)的時(shí)候都能在本站回復(fù)，的確如你們的Andy Pan所說，你們的核心競爭力很強(qiáng)，包括水軍方面。

好了，讓我正式談?wù)勥@個(gè)設(shè)計(jì)。找回用戶帳號通常就用三個(gè)事就可以了：郵箱，安全問答，手機(jī)。

大多數(shù)的系統(tǒng)都會(huì)使用郵箱和安全問答，這足夠了，很多系統(tǒng)直接用郵箱做帳號名（Apple ID，F(xiàn)acebook，新浪微博 ….），這樣一來，就算你的系統(tǒng)口令被盜，帳號的是改不掉的，于是你可以用郵箱找回（注：這些系統(tǒng)都會(huì)驗(yàn)證你的郵箱是否正確）。但是，如果用郵箱做帳號， 會(huì)導(dǎo)致你的郵箱暴露了，這樣為成為垃圾郵件的受害者，而且如果你還比較2的把郵箱的口令和帳號的口令設(shè)置成一樣的，那么就相當(dāng)坑爹了（你可以看看本站的這 篇文章——如何設(shè)計(jì)你的口令）。所以，但凡是用郵箱用為帳號的系統(tǒng)都不會(huì)讓人看到你的注冊郵箱，比如，大家就不知道我新浪微博帳號注冊的郵箱，就算是知道也應(yīng)該是受信的人知道（新浪微博帳號的郵箱地址的默認(rèn)可見度是“你關(guān)注的人”）。

這里要說一下，Google Mail使用的是電子郵件，安全問答 和 手機(jī)。你可以使用其中一種找回口令。gmail最漂亮的用戶體驗(yàn)是其會(huì)提示你，你綁寫的郵箱（哪家公司的郵箱和帳號名的第一個(gè)字母）和手機(jī)（3個(gè)尾號）。 MSN和gmail相似，也會(huì)提示你綁定的郵箱，也可以使用手機(jī)，還可以使用你設(shè)置好的受信PC，以及通過客戶支持（通過客戶支持——收集你注冊時(shí)用的名 字，生日，國家地區(qū)，安全問題，使用過的口令，最近發(fā)送過的郵箱標(biāo)題，聯(lián)系人等，或是你綁定過的信用卡信息，但是不會(huì)有身份證）。

使用手機(jī)的一般是安全性比較高的網(wǎng)站，比如：淘寶、Gmail等。這樣，使用手機(jī)找回口令也不錯(cuò)。因?yàn)槟阕缘陌踩珕柎鹉憧赡軙?huì)忘了，你的綁定的郵 箱也可能忘了口令，而很多木馬可以盜取你的這些電腦上的安全問答或郵箱口令，但是這些木馬程序盜不走你的手機(jī)（注：在移動(dòng)互聯(lián)網(wǎng)時(shí)代很可能會(huì)盜取你的手機(jī) 上的信息，但是也盜不走你的手機(jī)號——無法像郵箱那樣改個(gè)口令就盜走了）。你會(huì)說，手機(jī)還不是會(huì)丟失，但是你要明白，你丟失的手機(jī)，你是可以停機(jī)的，可以 通過你的手機(jī)密碼卡或是身份證恢復(fù)你的手機(jī)號的。另外，使用手機(jī)的好處還在于，我的系統(tǒng)不需要收信你的真實(shí)信息（如：姓名，身份證，住址等），這些真實(shí)信息的驗(yàn)證交給移動(dòng)運(yùn)營商驗(yàn)證就好了。在程序設(shè)計(jì)的里，我們把這種事叫“解耦”。Amazon就一種通過電子郵件，然后通過你使用過的信用卡后四位，以及帳單的郵寄的郵政編碼，如果你的郵箱變了，沒問題，打電話給客服吧，客服會(huì)問你的錢行卡號和帳單地址，電子商務(wù)的好處就是可以有信用卡或銀行卡來恢復(fù)號。，因?yàn)檫@——把用戶的真實(shí)信息“解耦”到了銀行，并“耦合”和銀行方面的安全策略。很明顯，銀行和移動(dòng)公司的安全級別更高，而且用戶也更信任他們。最好不要自己收集用戶的真實(shí)信息，要是丟失了，你就麻煩了（在國外你就要被起訴了）

在這里，你可能會(huì)有疑問，如果我的帳號口令丟失了，那么盜取者會(huì)進(jìn)入我的系統(tǒng)改我的郵箱，改我的手機(jī)，改我的信用卡等，那不也一樣嗎？我想說，對于 郵箱和手機(jī)，其和密碼的級別一樣，你改密碼的時(shí)候，你都要輸入舊密碼，所以，你改郵箱和手機(jī)的時(shí)候也要使用舊的郵箱和手機(jī)。關(guān)于你綁定的銀行卡或信用卡 號，就算是自己也看不見的（只能看見四個(gè)尾號），這就就可以防盜了。當(dāng)然，盜電子商務(wù)帳號的人一般會(huì)用你一帳號買東西，但是其會(huì)遇到另一個(gè)麻煩，那就是要 面對銀行方面的審計(jì)工作——1）對于銀行卡通過銀行的網(wǎng)銀，銀行的安全系統(tǒng)會(huì)幫你審計(jì)。2）對于信用卡則要受到信用卡驗(yàn)證和簽名的驗(yàn)證，還能讓商家會(huì)幫你 檢查信用卡簽名是否正確。

一些人說，QQ的帳號申訴過程的“美妙”在于其他盡可能多的收集你的信息，這樣一來，反而是安全的，因?yàn)槊艽a容易被盜，而你的那么多的信息則不容易被盜。這樣認(rèn)識(shí)只對了一半。真正的安全系統(tǒng)是協(xié)同整個(gè)社會(huì)的安全系統(tǒng)做出來的一道安全長城，而不是什么都要自己搞（當(dāng)然，我們都知道騰訊的DNA就是什么都要自己搞，連FBI和CIA的事也已經(jīng)在搞了），什么自己都搞反而不安全了。

其它討論Q&A

問題一：通過申訴找回帳號靠不靠譜？

明顯不靠譜，而且還很愚蠢。這反而成了惡意者的溫床。他人可以通過申訴讓正常人的帳號失效，這是一件多么愚蠢的事?。。ㄎ业腝Q帳號前兩天不就被這樣攻擊了嗎？）

問題二：通過聯(lián)系人恢復(fù)帳號靠不靠譜？

不全然靠譜，因?yàn)槟愕腝Q總是會(huì)有陌生人加你，你的郵箱聯(lián)系人也會(huì)有一些你不受信的人。那些人可能就是攻擊者的小號。所以，如果你要通過聯(lián)系人的話，就不要像QQ或MSN那樣坑爹的做法，讓用戶自己來選。而是要像Facebook那樣的做法——系統(tǒng)隨機(jī)挑些人來讓你認(rèn)。

問題三：在注冊時(shí)設(shè)置受信的聯(lián)系人靠不靠譜？

看似靠譜，但是個(gè)人覺得還是還一點(diǎn)問題。因?yàn)槭苄耪咄ㄟ^電子信息無法分辨是本人還是盜號者，還要受信者實(shí)際聯(lián)系一下對方。這就好像我們在手機(jī)號存電 話號碼的時(shí)候，寫上了爸爸，媽媽這樣的字眼，這樣當(dāng)惡意者拿了你的手機(jī)后，就可以向你的家人敲詐了，因?yàn)槠渲苯泳涂梢越谐鰧Ψ侥穷^的人和被攻擊者的關(guān)系。

問題四：恢復(fù)帳號的時(shí)候收集用戶的真實(shí)信息靠不靠譜？

這要看是什么情況了。如果用戶在注冊時(shí)提供了這些真實(shí)信息，就靠譜，如果沒有就相當(dāng)不靠譜。試想：你去銀行開戶存錢的時(shí)候，銀行沒有讓你出示身份證，只讓你設(shè)了個(gè)口令。然后我就可以用我的身份證去重置你的口令。你覺得這個(gè)事是不是相當(dāng)?shù)目拥浚?/p>

問題五：小白不懂郵件，不懂安全問題，不懂綁定手機(jī)??？

那就用耐心地客服教導(dǎo)這些小白（可參看銀行等機(jī)構(gòu)的做法——強(qiáng)制用戶輸入8位以上的口令，強(qiáng)制使用U盾才能進(jìn)行大額轉(zhuǎn)帳），提高他們的能力和對安全 的認(rèn)識(shí)，當(dāng)有一天這套東西形成社會(huì)標(biāo)準(zhǔn)的時(shí)候，安全才會(huì)真的到來。安全的問題本來就是雙方的事，只有大家都有安全意識(shí)，才能做得好。而不是遷就用戶。還是 Henry Ford的那名話——“如果我問用戶要什么，用戶會(huì)說他要一匹更快的馬”，所以這世上也就不會(huì)有汽車了。QQ不應(yīng)該為降低用戶安全意識(shí)起推動(dòng)性作用。

問題六：我的經(jīng)歷是什么樣的？

我基本不上QQ，我上QQ都是被朋友和同學(xué)逼的。因?yàn)樯现芩奈蚁雽扅c(diǎn)關(guān)于騰讀用戶體驗(yàn)的東西，所以我才上QQ想看看，結(jié)果發(fā)現(xiàn)上不去了，說是帳號被 投訴了，讓我申訴，我猜想估計(jì)和我最早發(fā)布的關(guān)于騰訊的文章有關(guān)系。我1999年來注冊的這個(gè)QQ號根本沒有提交過什么身份證或是地址系統(tǒng)之類的東西，我 曾經(jīng)綁定過手機(jī)，大概在5年前綁定過。

于是在走申訴流程的過程中，騰訊說的綁定的手機(jī)沒有被驗(yàn)證過，我還記得曾經(jīng)我使用我的hotmail郵箱代替過我的QQ號，不過這些在被投訴的面前 都不能用了。而我感到騰訊無法知道我提交的這些信息是否真實(shí)，又因?yàn)槲乙郧霸?jīng)幫朋友注冊過QQ號(我這些朋友就是騰訊員工說的小白用戶)，所以，我就用 一些看上去比較真實(shí)的但實(shí)際是假的信息，并用幫人注冊的這些QQ號成功申訴回來了。

有的網(wǎng)友說我不分不清找回密碼和申訴的差別，我在這里想說，你分明綁定了手機(jī)，但是當(dāng)你發(fā)了短信后卻被告訴你的手機(jī)沒有被驗(yàn)證過。這個(gè)就很扯了。

于是，我才意識(shí)到QQ的這個(gè)申訴過程相當(dāng)?shù)牟话踩ｊP(guān)于一些細(xì)節(jié)問題，還請我們的我們騰訊的員工@larry同學(xué)給大家更多的細(xì)節(jié)。

問題七：QQ還有什么樣的坑爹的Use Case?

有兩個(gè)朋友在回復(fù)中說到了兩個(gè)有意思的比較坑爹的Use Case。

@gqjjqg  說，他有個(gè)朋友被惡意申訴，有段時(shí)間和這個(gè)惡意申訴者來來回回地申訴這個(gè)QQ號，搞了一個(gè)多月都沒有搞定。最后只得和那個(gè)惡意申訴者達(dá)成和解才解決了這個(gè)事。

@Jack Yang說，他有個(gè)朋友在網(wǎng)上買了一個(gè)QQ號，沒過幾天就被申訴回去了（畢竟那是別人用過的），然后人家再接著賣，怎么申訴都申訴不回來。欲哭無淚。

可見，在QQ的申訴流程下，什么密保，什么手機(jī)綁定，都成了浮云。

希望你現(xiàn)在明白，關(guān)于騰訊的帳號申訴過程，看上去相那么回事，實(shí)際上漏洞百出。當(dāng)然，我不能說騰訊是愚蠢的，因?yàn)槿思腋愕媚敲创蟮钠髽I(yè)，我只能說人家是在下一盤很大的棋

原文鏈接：http://coolshell.cn/articles/5987.html#more-5987